设为首页收藏本站
登录问题留言切换到宽版

友声网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
友声网» Web System,Server 对linux安全设置中需要注意和掌握的地方 ...
返回列表 发新帖
开启左侧

对linux安全设置中需要注意和掌握的地方

[复制链接]
admin 发表于 2006-3-25 07:58 | 显示全部楼层 |阅读模式
服务器的安全 (防范于未然 比入侵后再修补漏洞要好的多 一旦遭到入侵以后 当你发现你的水平在黑客的水平之下并且找不到 他攻击的路径和方法的话 最好重装系统 并且更新你软件的版本为最新的)

  需要注意的地方:

  1.使用 复杂的口令( 都是废话 但是却是 非常关键的 很多资料都谈到了 我也不必再重复)

  2.摒弃不安全的连接方式 : telnet 以及 ftp 都是不安全的连接方式 ( 尽量采用 ssh 和sftp 等等加密的通讯方式 防止通讯数据被人嗅探或者截获)

  4.对一些关键的 切换命令 比如 su mount ……等等 要严加控制 其使用权限 (su 需要指定专门的用户才可以使用 防止暴力破解 mount 防止 有人通过远程挂载 一些 目录 上面suid 和sgid 的 程序 用于入侵或者攻击)

  5.经常的更新 和升级软件的版本 ( 但是注意 盲目的升级软件版本 很可能会造成新的软件 运行不正常)redhat 有可以从 redhat network 获得 更新的功能 使用 up2date 就可以更新系统的各类服务的数据包

  6.sudo 的设置 ( 这个工具是授权 非root用户 运行root 用户的一些命令)

  7.suid 和sgid 位的设置 ( 这个的危害 恐怕是非常严重的 )

  8.各种服务配置文件的设置 (卸载 自己没有开设的服务的数据包 不要保留 )

  9.为了防止dns欺骗 要对的设置 进行修改 必须 让服务器 进行反相解析 并且要 设置为 先从 外部dns服务器上获得数据 不要 设置为 直接读取自己机子的缓存信息

  10.最好可以使用 vpn 来替代 利用外部网络直接连接 远程服务器

  11. hosts.deny hosts.allow 文件 阻挡 非授权用户访问系统服务

  12.iptables 防火墙设置 (这里需要严格设置 并且要设置 关键文件的权限 同时在这里 在保证安全的前提下尽量少的 规则可以提高效率和处理速度 对出口数据同样要严格控制 防止反相连接 或者成为别人dos 攻击的发源地 !)

  13.at 计划任务的 检查 (包括at.deny at.allow 文件的检查) 这里强调一下 很多服务都有这样地后缀名为 deny allow文件 设置不当 就会给人以可乘之机 所以前面说的 对服务设置地了较 同样非常重要)

  14.cron 设置 检查 定期运行的 列表里 有什么不妥当的 shell

  15.系统在分区过程中 最好能够 把一些目录分开 如果有多的硬盘 最好把/home 和 应用程序的目录分在各自单独的硬盘上 并且做好 用户的磁盘配额 来防止 入侵后对系统进行 恶意的写数据 破坏硬盘的数据 最大限度上保证数据的安全

  16.做好 raid 磁盘列阵 来防止硬盘的损坏 (安全不仅仅 指的是 系统的安全还 包括数据的安全和通讯的安全)

  17.文件的文件完整性检查 工具 tripwire 用来检查文件的 完整性 ( 所以强烈建议 linux 系统的管理员在工作过程中 做好工作笔记 记录在对系统设置修改中 更改的设置) 完整性检查的数据不要保存到这台主机的硬盘上 最好使用移动介质(cdrom 或者移动硬盘)

  18.检查一些容易被黑客替换的命令文件 ls mount netstat lsof top ……  并且要备份一套 完整的没有做过修改的系统检查文件的 备份 (防止 这些检查工具被 木马话或者被替换 )

  19.最好 使用 chattr 命令 给写文件加上 一些属性 比如 +i 这样可以防止任意更改文件(虽然不能阻止 获得root 用户的黑客修改参数 但是对 防范脚本攻击却非常有效 可以避免软件本身有漏洞 造成被人修改 至少可以延缓 别人的攻击速度 对方停留在系统的时间越长 留下的日志也就越多还有专门的工具 可以增强这个功能 设置后甚至于root 用户都无权修改)

  20.备份文件 这样可以在出现问题的时候快速恢复数据

  21.syslogd 日志 最好设置一个远程日志服务器来保存日志 (这样在黑客攻破主机后 为了擦除 日志记录 就必须攻击日志服务器 并且日志服务器上有可能只有开启日志的服务 从而为入侵增加了难度 争取了 大量的时间)

  22.logsentry 日志监视工具 这个是用来在发现 监视工具中设置的一些敏感的 日志可以 尽快 发到 管理员手上

  23.protsentry 端口卫兵监视工具 这个可以设置一些端口 来反正 黑客对系统的踩点(扫描) 这工具还可以设置 一些被扫描后 运行什么脚本的功能 所以功能强大 如果可以设置的好 可以非常有效的防止 黑客对系统的扫描

  上面强调的都是从 网络上攻击的防范方法:

  其实物理的安全同样重要 要是人家 拿走了你的硬盘 恐怕你的设置再安全也是 于事无补

  24.同时对 bios 设置和 给grub 加密 还有 对自己离开主机是 锁定 系统都是非常必要的 ( 可以防止 别人通过物理接触来攻破系统)

  25.上面的做的再好 没有管理员的责任心 敬业精神 警惕心 和上进心 (每天需要对日志 和关键信息的 查阅 应该是管理员的必修课 同时需要不断的学习 增强自己的技术水平) 再强的硬件和环境 都是一堆摆设 只会 成为黑客谈论的笑柄  说白了 安全在于人为 不要怪罪于软件和硬件 本身 !!

回复

举报

返回列表 发新帖

RSS|无图版|手机版|友声网 ( 鲁ICP备15020090号-1 )|网站地图 | 点击这里给我发消息 |

GMT+8, 2024-4-25 20:03 , Processed in 0.084877 second(s), 7 queries , MemCache On.

Powered by Discuz! X

© ys166.com

快速回复 返回顶部 返回列表